Französische Aufsichtsbehörde veröffentlicht Monitoring-Tool für Binding Corporate Rules
Die französische Aufsichtsbehörde (CNIL) hat ein Monitoring-Tool veröffentlicht, um Unternehmensgruppen, die über interne Unternehmensregeln, die sog. Binding Corporate Rules ( BCR) verfügen, bei der Überprüfung ihrer Umsetzung zu unterstützen.
Verantwortliche und/oder Auftragsverarbeiter dürfen personenbezogene Daten an Drittländer oder eine internationale Organisation nur dann übermitteln, sofern diese gem. Art. 46 Abs. 1 DSGVO hierfür geeignete Garantien umgesetzt haben. Als eine solche geeignete Garantie sieht Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DSGVO ausdrücklich die Binding Corporate Rules vor. Diese sind als interne Unternehmensregeln zu verstehen, welche die Handhabung des Datenschutzes in der Unternehmensgruppe verbindlich festlegen.
Die Möglichkeit der Nutzung der Bindig Corporate Rules ist ausschließlich Unternehmensgruppen oder einer Gruppe von Unternehmen gem. Art. 47 Abs. 1 lit. a) DSGVO vorbehalten. Diese Regelungen decken nur die Datenübermittlungen zwischen gruppenangehörigen Unternehmen ab.
Die Binding Corpaorate Rules stehen unter einem sog. Genehmigungsvorbehalt durch die jeweils zuständige Aufsichtsbehörde. Die Genehmigung ist durch das Kohärenzverfahren gem. Art. 63 DSGVO herbeizuführen, sofern auf der Basis des Binding Corporate Rules- Datentransfers aus mehr als nur einem Mitgliedstaat vorgesehen sind.
Die jeweilige Unternehmensgruppe ist für die praktische Umsetzung der sich aus den Bindig Corporate Rules ergebenden Verpflichtungen verantwortlich. Bei den Unternehmen handelt es sich in der Regel um multinationale Konzerne, die in mehreren Ländern der Europäischen Union und in Drittländern niedergelassen sind (eine Auflistung finden Sie unter anderem unter: https://cnil.fr/fr/liste-bcr oder https://www.edpb.europa.eu/our-work-tools/accountability-tools/bcr_de
Neues Monitoring-Tool zur Überprüfung der Einhaltung der Binding Corporate Rules
Um den Unternehmen die Möglichkeit zu geben, selbstständig zu überprüfen, inwieweit sie die Anforderungen dieser Vorschriften erfüllen, hat die CNIL das Monitoring-Tool in französischer und englischer Sprache bereitgestellt.
Es ist in drei Stufen anzuwenden, wobei es auf zwei Fragebögen basiert, die je nach Bedarf angepasst werden müssen.
Stufe 1. Der Datenschutzbeauftragte oder der Verantwortliche für die Einhaltung der Vorschriften auf Konzernebene muss die zu überwachenden Stellen auswählen. Letztere können in der EU ansässig sein, müssen es aber nicht.
Stufe 2. Diese Stellen füllen den ersten Fragebogen „Lokale Einrichtung“ aus und richten ihn an den Verantwortlichen auf Konzernebene. Dieses Feedback gewährleistet eine konkrete und harmonisierte Anwendung der Binding Corporate Rules und eine angemessene Verwaltung.
Stufe 3. Der zweite Fragebogen „Datenschutzbeauftragter der Gruppe“ wird direkt vom Datenschutzbeauftragten der Gruppe ausgefüllt, und zwar auf der Grundlage des Feedbacks, das er über den ersten Fragebogen erhält. Dieser soll einen synthetischen Überblick über die Umsetzung der Governance ermöglichen.
Auf der Grundlage aller Angaben und Ergebnisse kann der Datenschutzbeauftragte oder der Verantwortliche auf Gruppenebene die Dokumentation über die Einhaltung der Vorschriften in der Gruppe vervollständigen, einen To-do Plan vorschlagen oder die Durchführung von Audits veranlassen.
Die Fragebögen finden Sie auf der Seite der französischen Aufsichtsbehörde unter: https://www.cnil.fr/en/binding-corporate-rules-bcr-cnil-publishes-monitoring-tool